SİBER ALARM: Saldırganlar Google Cloud Entegrasyonunu Kullanarak Binlerce Kullanıcıyı Hedef Aldı

Siber güvenlik uzmanları, Google Cloud’un Uygulama Entegrasyonu (Application Integration) hizmetini suistimal eden sofistike bir oltalama (phishing) kampanyasını deşifre etti. Check Point tarafından paylaşılan detaylara göre, saldırganlar Google’ın kendi altyapısını kullanarak güvenlik filtrelerini aşmayı ve dünya genelinde binlerce kurumsal kullanıcıyı tuzağa düşürmeyi başardı.

Güven Filtrelerini Devre Dışı Bırakan Strateji

Saldırının en tehlikeli noktası, e-postaların doğrudan “noreply-application-integration@google[.]com” adresinden gelmesi oldu. Google’ın meşru alan adından gönderilen bu mesajlar; SPF ve DMARC gibi geleneksel e-posta güvenlik kontrollerini hiçbir takılmaya uğramadan geçerek doğrudan kullanıcıların gelen kutularına ulaştı.

Saldırının İşleyişi: Çok Aşamalı Yönlendirme

Aralık 2025’te tespit edilen ve 14 gün süren bu yoğun kampanya, şu adımları izledi:

  1. Güvenilir Başlangıç: Kullanıcıya “sesli mesaj” veya “dosya paylaşımı” (örneğin: “Q4 dosyası”) temalı, Google formatında hazırlanmış sahte bir bildirim e-postası gönderildi.
  2. Google Cloud Üzerinden Yönlendirme: E-postadaki bağlantıya tıklayan mağdurlar, önce storage.cloud.google.com adresine, ardından bir doğrulama (Captcha) aşamasına yönlendirildi.
  3. Güvenlik Araçlarını Atlatma: Bu doğrulama aşaması, otomatik güvenlik tarayıcılarının zararlı içeriği tespit etmesini engellerken gerçek kullanıcıların ilerlemesine izin verdi.
  4. Veri Hırsızlığı: Son aşamada kullanıcı, sahte bir Microsoft giriş sayfasına yönlendirildi ve buraya girilen tüm kimlik bilgileri saldırganlar tarafından ele geçirildi.

Hedefteki Sektörler ve Kapsam

14 günlük kısa bir sürede 9.394 e-posta ile yaklaşık 3.200 müşteri hedef alındı. Başta ABD, Avrupa ve Kanada olmak üzere küresel ölçekte yayılan saldırıdan en çok etkilenen sektörler şunlar oldu:

  • Üretim ve Teknoloji
  • Finans ve Profesyonel Hizmetler
  • Perakende, Sağlık ve Eğitim

Google’dan Müdahale

Olayın ortaya çıkmasının ardından Google Cloud, Uygulama Entegrasyonu hizmetindeki e-posta bildirim özelliğinin bu şekilde kötüye kullanılmasını engellediğini ve benzer saldırıların önüne geçmek için ek güvenlik önlemleri aldığını duyurdu.

Related Posts

İran Bağlantılı Tehdit Aktörlerinden Yeni Operasyon: Cavern Zararlı Yazılımı İsrail’i Hedef Alıyor

İran İstihbaratına bağlı çalışan bir hack grubu (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji firmalarını hedef almak için “Cavern” adında yepyeni ve çok gelişmiş bir siber silah kullanmaya başladı. Saldırı…

15 Yıldır Fark Edilmeyen Linux Açığı Ortaya Çıktı: GhostLock Root Yetkisi Kazandırabiliyor

Siber güvenlik araştırmacıları, yaklaşık 15 yıldır Linux çekirdeğinde bulunan kritik bir güvenlik açığını ortaya çıkardı. CVE-2026-43499 olarak takip edilen ve GhostLock adı verilen açık, yerel erişime sahip saldırganların sistemde root…

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir